> Sécurité > SSI, des crises trop silencieuses

SSI, des crises trop silencieuses

Sécurité - Par Arnaud Lorgeron - Publié le 22 septembre 2015
email

Alors que VIGIPIRATE s’affiche malheureusement partout, les occasions de parler de PIRANET, elles, sont bien plus rares.

SSI, des crises trop silencieuses

Même si certaines mesures du premier visent à protéger les systèmes d’information essentiels pour l’intégrité de la Nation, c’est bien le second qui constitue le plan d’intervention consacré à l’intervention de l’État en cas de crise majeure d’origine informatique.

A ce titre, il est un des piliers de la stratégie de défense informatique française. Le plan est préparé et maintenu par l’ANSSI et le SGDSN. Il définit l’organisation et les processus de gestion de crise permettant à l’État de prendre les dispositions nécessaires.

Dans le cadre de PIRANET ou non, il vous faudra parfaitement savoir de quoi il retourne pour communiquer en cas d’incident de sécurité. Chacun pouvant, en outre, amener une crise… Et qui dit crise dit gestion de crise !

Alors que cette problématique est considérée comme maîtrisée dans le monde SSI, chacun sait pertinemment que le retour d’expérience est faible du fait qu’une victime préférera souvent taire ce qu’elle a subi. Ici, apparaît un des nombreux « silences » que nous allons présenter. N’oubliez pas : avant, pendant, et après un incident de sécurité, il est impératif d’associer la communication aux mesures techniques et organisationnelles qui concentrent tous les efforts…

Communiquer au quotidien

Commençons par la communication quotidienne, l’échange d’information qui permet la circulation des connaissances.

Les crises resteront d’elles-mêmes silencieuses si, par anticipation, la bonne parole est portée au bon endroit ! Via ses chapitres 6.1.3 et 16.1.1, l’ISO 27002 conseille notamment d’entretenir des contacts appropriés avec les autorités (ANSSI, CNIL, ASIP Santé, ARJEL, etc.). C’est un bon début. Inutile de préciser que les relations doivent être bidirectionnelles.

D’une part, une entreprise se doit de remonter un incident de sécurité et, d’autre part, elle doit exploiter les informations et conseils étatiques pour renforcer sa cybersécurité et celle de ses systèmes d’information vitaux.

Plus largement, une entreprise soucieuse de la sécurité de son système d’information entretiendra également des relations avec des groupes de spécialistes (CSA, ENISA, etc.), pour prendre en compte du mieux possible les nouvelles menaces et les mesures de sécurité appropriées pour les contrer. Par ailleurs, on conseillera également de se rapprocher de son observatoire zonal de la sécurité des systèmes d’information. Peu connus, les OzSSI ont pourtant pour mission de relayer, sur l’ensemble du territoire national, les mesures prises pour améliorer la sécurité des systèmes d’information.

Communiquer avec les autorités

Mais revenons au rôle de l’ANSSI. L’autorité nationale de cyberdéfense doit disposer des informations nécessaires pour coordonner la réponse nationale aux incidents. L’enjeu n’est plus centré sur une seule et unique entreprise, mais concerne tout un ensemble. Chacun partagera donc avec l’ANSSI les informations relatives aux incidents sur ses systèmes d’information. C’est un moyen de centraliser les retours d’expérience.

Qu’elle menace tout juste ou qu’elle batte son plein la crise doit, par le biais de l’entreprise concernée, remonter aux oreilles de l’ANSSI. Passer sous silence un incident de sécurité est non seulement contre-productif mais aussi potentiellement illégal.

En outre, les entreprises les plus sensibles doivent se tenir informées de l’entrée en vigueur d’une directive européenne sur la déclaration d’incident. Oui, d’une entité unique, nous sommes passés au territoire national puis à l’Europe entière ! Des intérêts parfois divers mais liés par un échange d’informations vital pour la sécurité des systèmes déployés.

On notera enfin qu’il revient à l’entreprise elle-même de mettre en œuvre l’organisation et les moyens nécessaires pour ces échanges. Or, en pratique, la remontée d’incidents vers une entité externe introduit un risque supplémentaire (exploitation par un attaquant potentiel)… Quoi qu’il en soit, vous devez anticiper : savoir qui joindre et comment joindre ce contact doit être déterminé bien avant une crise, c’est-à-dire dès aujourd’hui.
Communiquer en interne

En matière de communication de crise, s’inspirer des bonnes pratiques de l’ISO 27002 nous permet de ne pas oublier que des messages doivent également être passés en interne. Passer un incident sous silence en gardant les salariés à l’écart est synonyme de risques supplémentaires. Bien entendu, la voie hiérarchique adéquate doit être utilisée. Mais la forme de la démarche ne doit pas cacher l’essentiel : signaler un événement ou une faille lié(e) à la sécurité de l’information est un impératif qui doit immédiatement entraîner une réaction.

Formaliser un plan de remontée de l’information, former et sensibiliser le personnel : les fondamentaux resteront toujours les mêmes. Comme chacun sait, le traitement de l’incident aura lieu sur les plans technique et organisationnel. Ainsi, d’une bonne communication en interne découlera la meilleure suite possible. Et, si l’enjeu est important, il est également double car on trouvera là une bonne base pour se prémunir de toute fuite ou erreur d’information vers l’extérieur.

Communiquer vers l’extérieur

En effet, vers le public extérieur, le bruit médiatique peut rapidement couvrir la funeste et discrète marche de la crise. Toute victime d’un incident de sécurité devra porter attention à sa réputation et, s’il est hors de question de verrouiller l’information, il faut en revanche se rendre maître de la chose. De façon générique, on parle de relations publiques. En ce qui concerne la SSI, il faut préserver son image vis-à-vis des clients tout en veillant à ne pas aggraver la crise considérée ni faciliter les attaques futures. Des questions de droits peuvent aussi intervenir. Il faut se garder la possibilité de porter plainte et à l’inverse éviter de mettre en cause un tiers.

Nommer un responsable chargé de vous représenter est essentiel, particulièrement dans le cadre d’un CERT. Ce dernier peut s’exprimer en son nom ou au nom d’un client. Faire appel à un CERT, c’est d’ailleurs se donner la possibilité de bénéficier d’une assistance à la carte pour prévenir et traiter un incident : veille, intervention technique, gestion de la communication interne et externe. La personne désignée doit être continuellement au fait de l’évolution de la crise, savoir quoi dire, quand le dire, comment le dire, et à qui  pour ne rien divulguer par erreur mais au contraire rassurer les différentes parties prenantes.

Organiser les communicants

Alors, la crise, silencieuse ou pas ? Comme le laissent comprendre les paragraphes précédents, il est possible de distinguer dans la communication deux fonctions principales.

La première concerne la communication au sens premier du terme, elle consiste maîtriser les informations avant de transmettre une information. La seconde intervient sur le plan légal en déterminant les réglementations concernées par la crise et les contraintes législatives à traiter au cours de sa résolution. Ces deux fonctions peuvent être assurées chacune par une personne ou une équipe au profil approprié (entourez-vous de celles et ceux sur qui vous savez pouvoir compter !). Dans l’idéal, l’équipe Communication devra associer un responsable de la stratégie, des experts médias, voire un community manager.

L’objectif principal reste de suivre l’évolution de la crise en parallèle de l’évolution des informations diffusées pour s’adapter et valoriser un message clé au moment opportun. Il est notamment question de l’image envoyée aux personnels et aux clients. L’équipe Réglementation pourra être plus réduite car un expert peut suffire, éventuellement avec l’appui de juristes. Cette fois, le rôle consiste à évaluer les impacts législatifs pour se conformer aux exigences et ainsi protéger l’entreprise tout en aidant le responsable de gestion de crise dans sa prise de décision. Les problématiques peuvent être variées : recherche d’un attaquant, collecte de preuves, accès aux données dont certaines potentiellement personnelles.

Pour conclure

Il s’avère nécessaire de garder à l’esprit que la culture du secret comme la communication figurent toutes deux à la base de notre société d’information.

Ne pas communiquer pour vous protéger c’est prendre le risque d’être confronté à des fuites et c’est se montrer égoïste en ne partageant pas une information qui pourrait être vitale pour autrui. Le seul avantage est d’éviter la banalisation médiatique des cyberattaques !

Quoi qu’il en soit, selon votre secteur d’activité et l’importance de votre entreprise, vous serez tôt ou tard obligé d’informer les autorités en fonction du type d’incident de sécurité détecté et vous serez heureux de bénéficier des alertes émises plus ou moins loin de vous… 

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Sécurité - Par Arnaud Lorgeron - Publié le 22 septembre 2015

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT